Una “campaña coordinada dirigida a desarrolladores” utiliza repositorios maliciosos disfrazados de evaluaciones técnicas y proyectos Next.js legítimos para engañar a las víctimas para que los ejecuten y establezcan un camino persistente a las máquinas comprometidas.
“La actividad se alinea con un conjunto más amplio de amenazas que utilizan señuelos con temas laborales para mezclarse con los flujos de trabajo rutinarios de los desarrolladores y aumentar la probabilidad de ejecución de código”, dijo el equipo de investigación de seguridad de Microsoft Defender en un noticia publicado esta semana.
El superhombre tecnológico dijo que la campaña se caracteriza por el uso de múltiples puntos de entrada que conducen al mismo resultado, donde el JavaScript controlado por el atacante se recupera en tiempo de ejecución y se ejecuta para suministrar el comando y control (C2).
Los ataques se basan en que los actores de amenazas establezcan repositorios falsos en plataformas de desarrolladores confiables como Bitbucket, usando nombres como “Cryptan-Platform-MVP1” para engañar a los desarrolladores que buscan trabajos para que los ejecuten como parte de un proceso de evaluación.
Un disección más profundo de los repositorios identificados ha descubierto tres rutas de ejecución distintas que, si admisiblemente se activan de diferentes maneras, tienen el objetivo final de ejecutar un JavaScript controlado por el atacante directamente en la memoria:
- Ejecución del espacio de trabajo de Visual Studio Codedonde los proyectos de Microsoft Visual Studio Code (VS Code) con configuración de automatización del espacio de trabajo se utilizan para ejecutar código zorro recuperado de un dominio Vercel tan pronto como el desarrollador abre y confía en el tesina. Esto implica el uso de runOn: “folderOpen” para configurar la tarea.
- Ejecución en tiempo de compilación durante el exposición de aplicacionesdonde ejecutar manualmente el servidor de exposición a través de “npm run dev” es suficiente para activar la ejecución de código zorro incrustado en bibliotecas de JavaScript modificadas disfrazadas de jquery.min.js, lo que hace que busque un cargador de JavaScript alojado en Vercel. Luego, Node.js ejecuta la carga útil recuperada en la memoria.
- Ejecución de inicio del servidor mediante exfiltración del entorno y ejecución dinámica de código remotodonde el inicio del backend de la aplicación provoca que se ejecute una razonamiento de carga maliciosa oculta en el interior de un módulo de backend o un archivo de ruta. El cargador transmite el entorno del proceso al servidor foráneo y ejecuta JavaScript recibido como respuesta en la memoria en el interior del proceso del servidor Node.js.
Microsoft señaló que los tres métodos conducen a la misma carga útil de JavaScript que es responsable de crear perfiles del host y sondear periódicamente un punto final de registro para obtener un identificador “instanceId” único. Este identificador se proporciona seguidamente en encuestas de seguimiento para correlacionar la actividad.
Todavía es capaz de ejecutar JavaScript proporcionado por el servidor en la memoria, lo que en última instancia allana el camino para un regulador de segunda etapa que convierte el punto de apoyo auténtico en una vía de camino persistente para acoger tareas contactando a un servidor C2 diferente y ejecutándolas en la memoria para minimizar dejar rastros en el disco.
 |
| Descripción militar de la sujeción de ataque |
“El regulador mantiene la estabilidad y la continuidad de la sesión, publica telemetría de errores en un punto final de informes e incluye razonamiento de reintento para viejo resistor”, dijo Microsoft. “Todavía rastrea los procesos generados y puede detener la actividad administrada y salir limpiamente cuando se le indique. Más allá de la ejecución de código bajo demanda, la Etapa 2 admite el descubrimiento y la exfiltración impulsados por el cámara”.
Si admisiblemente el fabricante de Windows no atribuyó la actividad a un actor de amenaza específico, el uso de tareas de VS Code y dominios de Vercel para organizar malware es una táctica que ha sido adoptada por piratas informáticos vinculados a Corea del Boreal asociados con una campaña de larga duración conocida como Contagious Interview.
El objetivo final de estos esfuerzos es obtener la capacidad de distribuir malware a los sistemas de los desarrolladores, que a menudo contienen datos confidenciales, como código fuente, secretos y credenciales, que pueden alabar oportunidades para profundizar en la red de destino.
 |
| Usar las esencias de GitHub en VS Code task.json en ocupación de las URL de Vercel |
En un noticia publicado el miércoles, Abstract Security dijo que ha observado un cambio en las tácticas de los actores de amenazas, en particular un aumento en los servidores de preparación alternativos utilizados en los comandos de tareas de VS Code en ocupación de las URL de Vercel. Esto incluye el uso de scripts alojados en GitHub gists (“gist.githubusercontent(.)com”) para descargar y ejecutar cargas enseres de la subsiguiente etapa. Un enfoque periódico emplea acortadores de URL como short(.)gy para ocultar las URL de Vercel.
La compañía de ciberseguridad dijo que todavía identificó un paquete npm zorro, llamado “eslint-validator”, vinculado a la campaña que recupera y ejecuta una carga útil ofuscada desde una URL de Google Drive. La carga útil en cuestión es un conocido malware de JavaScript denominado BeaverTail.
Encima, se ha descubierto que una tarea maliciosa de VS Code integrada en un repositorio de GitHub inicia una sujeción de infección monopolio de Windows que ejecuta un script por lotes para descargar el tiempo de ejecución de Node.js en el host (si no existe) y aprovecha el software certutil para analizar un agrupación de código contenido en el script. Luego, el script decodificado se ejecuta con el tiempo de ejecución de Node.js obtenido previamente para implementar un malware de Python protegido con PyArmor.
La empresa de ciberseguridad Red Asgard, que todavía ha estado siguiendo ampliamente la campaña, dijo que los actores de amenazas han diligente proyectos de código VS diseñados que utilizan el disparador runOn: “folderOpen” para implementar malware que, a su vez, consulta la sujeción de bloques Polygon para recuperar JavaScript almacenado en el interior de un arreglo NFT para mejorar la resiliencia. La carga útil final es un timador de información que recopila credenciales y datos de navegadores web, billeteras de criptomonedas y administradores de contraseñas.
 |
| Distribución de la infraestructura de prueba utilizada por los actores de amenazas norcoreanos en 2025 |
“Esta campaña dirigida a desarrolladores muestra cómo un ‘tesina de entrevista’ con tema de reemplazo puede convertirse rápidamente en un camino confiable alrededor de la ejecución remota de código al integrarse en flujos de trabajo rutinarios de desarrolladores, como desobstruir un repositorio, ejecutar un servidor de exposición o iniciar un backend”, concluyó Microsoft.
Para contrarrestar la amenaza, la compañía recomienda que las organizaciones endurezcan los límites de confianza del flujo de trabajo de los desarrolladores, apliquen una autenticación sólida y un camino condicional, mantengan una estricta higiene de las credenciales, apliquen el principio de privilegio imperceptible a las cuentas de los desarrolladores y creen identidades, y separe la infraestructura de construcción cuando sea posible.
El exposición se produce cuando GitLab dijo que prohibió 131 cuentas únicas en 2025 que participaban en la distribución de proyectos de código zorro vinculados a la campaña Contagious Interview y el esquema fraudulento de trabajadores de TI conocido como Wagemole.
“Los actores de amenazas normalmente se originaban en VPN de consumidores cuando interactuaban con GitLab.com para distribuir malware; sin confiscación, todavía se originaban intermitentemente en infraestructuras VPS dedicadas y probablemente en direcciones IP de granjas de portátiles”, dijo Oliver Smith de GitLab. “Los actores de amenazas crearon cuentas utilizando direcciones de correo electrónico de Gmail en casi el 90% de los casos”.
En más del 80% de los casos, según la plataforma de exposición de software, se dice que los actores de amenazas aprovecharon al menos seis servicios legítimos para meter cargas enseres de malware, incluidos JSON Keeper, Mocki, npoint.io, Render, Railway.app y Vercel. Entre ellos, Vercel fue el más utilizado, y los actores de amenazas confiaron en la plataforma de exposición web no menos de 49 veces en 2025.
“En diciembre, observamos un conjunto de proyectos que ejecutaban malware a través de tareas de VS Code, ya sea canalizando contenido remoto a un shell nativo o ejecutando un script personalizado para decodificar malware a partir de datos binarios en un archivo de fuente inexacto”, agregó Smith, corroborando los hallazgos de Microsoft ayer mencionados.
 |
| Organigrama evaluado de la célula de trabajadores de TI de Corea del Boreal |
GitLab todavía descubrió un tesina privado “casi con certeza” controlado por un ciudadano norcoreano que administra una célula de trabajadores de TI de Corea del Boreal que contenía registros financieros y de personal detallados que mostraban ganancias de más de $ 1,64 millones entre el primer trimestre de 2022 y el tercer trimestre de 2025. El tesina incluía más de 120 hojas de cálculo, presentaciones y documentos que rastreaban el desempeño de los ingresos trimestrales de los miembros individuales del equipo.
“Los registros demuestran que estas operaciones funcionan como empresas estructuradas con objetivos y procedimientos operativos definidos y una estrecha supervisión jerárquica”, señaló GitLab. “La capacidad demostrada de esta célula para cultivar facilitadores a nivel mundial proporciona un stop categoría de resiliencia operativa y flexibilidad en el lavado de capital”.
 |
| Una cuenta de GitHub asociada con un trabajador de TI de Corea del Boreal |
En un noticia publicado a principios de este mes, Okta dijo que la “gran mayoría” de las entrevistas con trabajadores de TI no avanzan alrededor de una segunda entrevista u proposición de trabajo, pero señaló que están “aprendiendo de sus errores” y que un gran número de ellos buscan trabajo por arreglo temporal como desarrolladores de software contratados por empresas de terceros para explotar el hecho de que es poco probable que apliquen verificaciones de informes rigurosas.
“Sin confiscación, algunos actores parecen ser más competentes a la hora de crear personajes y producirse entrevistas de proyección”, añadió. “Está en colección una especie de selección natural de los trabajadores de TI. Los actores más exitosos son muy prolíficos y programaron cientos de entrevistas cada uno”.
